Das IT-Sicherheitsgesetz (IT-SiG) ist am 25. Juli 2015 in Kraft getreten. Das IT-SiG verpflichtet Betreiber Kritischer Infrastrukturen, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach Stand der Technik angemessen abzusichern. Mindestens alle zwei Jahre muss dies überprüft und durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachgewiesen werden. Im Gegensatz zum IT-Sicherheitskatalog wird im IT-SiG ein ISMS nicht explizit genannt. Ein ISMS ist zur Aufrechterhaltung von Informationssicherheit derzeit der aktuelle Stand der Technik. Zu den Betreibern Kritischer Infrastrukturen gehören Unternehmen aus den Branchen Energie, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit und Ernährung sowie Medien und Kultur.